Сеть на базе 5 устройств Mikrotik CRS328

[p001p]

День добрый. 
Во вложении примерная схема сети. 

Есть 5 микротиков. Между собой они все соединены оптикой в порты SFP+. 
На каждый микротик приходит несколько абонентов-устройств, которые я условно показал системными блоками. 

Конфигурация каждого микротика одинакова, а именно. 
Порты 1-9 и 16-22 (включительно) - bridge1

Порты 10-15 (включительно) - bridge2

Порты 23, 24, SFP1-SFP4 - bridge3-TRUNK

 

Созданы VLAN'ы, а именно. 
VLAN1-id33 на bridge3-TRUNK

VLAN2-id44 на bridge3-TRUNK

Так же в bridge1 - добавлен VLAN1-id33

Так же в bridge2 - добавлен VLAN2-id44

В Routes есть условие что весь трафик с 0.0.0.0/24 заворачивается на 192.168.7.1 - я так понимаю это осн. шлюз.

IP адреса присвоены:

1 устройство - 192.168.7.1 / 10.10.7.1 - vlan1-id33/bridge2
...

5 устройство - 192.168.7.5 / 10.10.7.5 - vlan2-id33/bridge2
 

Стоит 2 сервера.
1 подключен в порты к bridge1 на 192.168.7.3

2 подключен в порты к bridge2 на 10.10.7.3 

т.е. к одному и тому же устройству, только разные порты.

На текущий момент меня волнует ситуация на bridge1, так как bridge2 успешно работает без проблем. Получает данные от абонентов и отдает их на сервер. 

 

Проблемы:
1. Сервер №1 не пингуется. Точнее проходит 1 запрос пинга и потом "превышен период ожидания"

2. Сервер №1 отвечает на запросы tracert
3. Сам сервер может периодически пинговаться если в этот момент делать пинг до микротика на котором он висит. 
4. Если в этот момент зайти по RDP на сервер, то он не видит НИКОГО из иных абонентов-устройств ни на одном из микротике. 

5. Если подключиться ноутбуком в bridge1 любого микротика, все абоненты-устройства доступны.

Что бы вы понимали, сеть - техническая. Т.е. все устройства имеют static IP. DHCP отключен. DNS не настраивали. 
 

Доп. вопросы. 
1. Планируется настроить доступ из внешней сети до сервера №1, т.е. в будущем к нему должны уметь подключаться с интернета. (просто инфа)
2. Надо ли в Route List - RULES прописывать запрет на доступ из одного бриджа в другой? 

3. Назначать IP надо бриджам или Вланам? 

4. Нужен ли DNS? Выходна в глобал нету. 

5. Периодически может отваливаться осн. шлюз 192.168.7.1 - что может происходит с сетью? На всех устройствах-абонентах прописан осн. шлюз

6. Как проверить наличие в сети дублирования IP адресов?
7. Как проверить в сети наличии случайных залётных абонентов из подсети 10.10.7.0/24 в подсеть 192.168.7.0/24?

 

Документ1.pdf

Edited December 16, 2018 by p001p

[jffulcrum]

@p001p По проблемам вашим - для начала берете эксель, и с каждого микротика копируете ARP и MAC-таблицы по интерфейсам. В конце сличаете и ищите аномалии. Цель - найти, где "протекает", т.е. порт одной сети оказался прокинут в другую, и MAC какого-то устройства оказался и там, и там. Протекать может и НЕ микротик, а какое-нибудь еще устройство, очень любят протекать точки доступа, всякие промежуточные неуправляемые свитчики и т.п. 

 

По остальным вопросам - что прошито в свитчи, RouterOS или SWOS?

[p001p]

1 час назад, jffulcrum сказал:

@p001p По проблемам вашим - для начала берете эксель, и с каждого микротика копируете ARP и MAC-таблицы по интерфейсам. В конце сличаете и ищите аномалии. Цель - найти, где "протекает", т.е. порт одной сети оказался прокинут в другую, и MAC какого-то устройства оказался и там, и там. Протекать может и НЕ микротик, а какое-нибудь еще устройство, очень любят протекать точки доступа, всякие промежуточные неуправляемые свитчики и т.п. 

 

По остальным вопросам - что прошито в свитчи, RouterOS или SWOS?

 

С таблицей разбираюсь. Спасибо за идею. Беспроводных точек нету. 

 

 

Прошит везде RouterOS, пользуем через winbox

[Saab95]

Этот микротик может работать и роутером, переведите его на L3 Транспорт и это сразу решит все проблемы с не понятными адресами.

 

То есть смысл в том, что на каждый порт вешаете только один IP подключенного к этому порту компьютера. Все между собой общаются уже посредством роутинга.